我正在开发一个基于微服务的大型项目,其业务功能分布在各种微服务上 . 我担心的是前端正在实施 isomorphic react redux spa app .
我们为单点登录功能实现了 OpenId Connect Provider (带有ASP.NET Core的Identity Server 4),因为我们的核心业务功能可以通过客户的第三方应用程序访问 .
我的 first question 是在 isomorphic react app 中实现打开连接的 best/most suited flow and architecture ,因为应用程序可以在服务器端和浏览器中工作 .
目前我们正在使用 Implicit Flow (由基于浏览器的JavaScript应用程序的规范建议)来获取Id令牌和Access令牌,但是由于Implicit Flow的性质,这些令牌直接返回到浏览器并因此公开公开 .
我对 Hybrid flow 感到困惑,如果可以使用(无论是否可取),这里可以检查服务器上的访问令牌,以防同构应用程序 .
我的 second question 是 react redux scenario 中最好的方式 store the tokens ,以便它们可以在客户端和服务器端使用 . 如果我将它存储在浏览器本地存储/会话存储中,它将无法在服务器上使用 . 将标记存储在redux存储区中是否是个好主意?
期待有 Value 的指导 .